曾麗潔

(湖北大學 政法與公共管理學院，湖北 武漢 430062)

旅游已成為國際服務貿(mào)易中的最大組成部分，全球旅游投資快速增長。在線旅游電子商務發(fā)展迅猛，旅游生產(chǎn)端、產(chǎn)業(yè)鏈都以智慧旅游、“互聯(lián)網(wǎng)+”旅游為主要表現(xiàn)，旅游消費端也發(fā)生變化，旅游消費關(guān)系深受互聯(lián)網(wǎng)影響。[1]大數(shù)據(jù)技術(shù)助力跨境旅游服務智慧發(fā)展的同時，也給旅游企業(yè)帶來新的挑戰(zhàn)?？缇陈糜纹髽I(yè)開展海外運營應全面把握境外機構(gòu)管理和運營涉及國家(地區(qū))的相關(guān)法律法規(guī)，如數(shù)據(jù)保護等方面的監(jiān)管要求，確保境外機構(gòu)管理和運營始終合法合規(guī)。鑒于歐盟是我國跨境旅游的主要市場，歐盟《通用數(shù)據(jù)保護條例》(GeneralDataProtectionRegulations，GDPR)的域外適用，必然會影響到我國跨境旅游業(yè)的發(fā)展。因此，有必要深入了解這一國際立法，積極探討我國跨境旅游企業(yè)的合規(guī)競爭之道。

一、厘清企業(yè)經(jīng)營中受GDPR管轄的數(shù)據(jù)處理行為的范圍

(一)明確GDPR的適用范圍

第一，適用于中國旅游企業(yè)在歐盟境內(nèi)設立的業(yè)務機構(gòu)或合作者的個人數(shù)據(jù)處理行為，不論實際數(shù)據(jù)處理行為是否發(fā)生在歐盟境內(nèi)。業(yè)務機構(gòu)的形式不必是分公司或具有法人資格的子公司，在歐盟境內(nèi)設有唯一代表即符合主體適用條件。

第二，即便中國旅游企業(yè)未在歐盟境內(nèi)設立業(yè)務機構(gòu)，但在向歐盟境內(nèi)自然人提供商品或服務的過程中處理其個人數(shù)據(jù)，無論該商品或服務是否要求數(shù)據(jù)主體支付對價，也適用于GDPR。從歐盟《布魯塞爾條例》帶來的在消費者合同中為消費者提供特別保護的一貫做法以及歐盟法院司法實踐來看，判斷是否在歐盟境內(nèi)提供商品或服務要看銷售者或服務提供者是否有“指向行為”，關(guān)鍵在于其是否“意圖”以歐盟成員國的消費者為目標，而不是僅通過向消費者提供“可進入的提供貨物或服務的網(wǎng)址”。如果一個非歐盟組織提供其分支機構(gòu)或代理機構(gòu)在歐盟的位置、在網(wǎng)站上使用的搜索引擎中有針對歐盟成員國的廣告或使用與歐盟相關(guān)的頂級域名、使用歐盟成員國的語言或貨幣、在線支付程序便于歐盟成員國的消費者等，即使不實際發(fā)生業(yè)務，也被視為“意圖”向歐盟境內(nèi)自然人提供商品或服務。

第三，中國旅游企業(yè)對發(fā)生在歐盟境內(nèi)數(shù)據(jù)主體的活動進行監(jiān)控而做出的個人數(shù)據(jù)處理行為，受GDPR規(guī)制。如，在網(wǎng)站上使用具有追蹤和監(jiān)控功能的應用程序處理個人數(shù)據(jù)的行為，包括用戶畫像技術(shù)的后續(xù)使用，尤其是為了做出關(guān)于該個人的決定或為了分析其旅游偏好、行為和態(tài)度而在互聯(lián)網(wǎng)上追蹤個人的行為；通過旅游服務APP持續(xù)收集歐盟境內(nèi)用戶信息；通過智慧旅游平臺移動計算、移動定位等技術(shù)準確判定消費者的移動位置和潛在目的地等行為。

(二)廓清歐盟個人數(shù)據(jù)的范疇

跨境旅游企業(yè)要注意歐盟個人數(shù)據(jù)的范疇遠大于中國。旅游消費者個人數(shù)據(jù)通常應包括個人特征數(shù)據(jù)、可推測主體身份和行為的數(shù)據(jù)、電子旅游身份與行為記錄。需要注意的是，歐盟語境中“身份”(identity)的內(nèi)涵遠比中文語境中更寬泛，包括身體的、生理的、基因的、精神的、經(jīng)濟的、文化與社會的身份。[2]另外，歐洲法院最近裁定，在某些情況下，動態(tài)IP地址也可視為個人數(shù)據(jù)。[3]

跨境旅游企業(yè)還要格外注意歐盟擴展了個人敏感數(shù)據(jù)的目錄。歐盟成員國普遍以2018年歐洲理事會成員國簽署的《關(guān)于個人數(shù)據(jù)自動化處理的個人保護公約》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，又被稱為“108號公約”)修訂議定書來界定個人敏感數(shù)據(jù)，將基因數(shù)據(jù)、與違法行為、刑事訴訟和定罪以及相關(guān)的安全措施有關(guān)的個人數(shù)據(jù)、唯一識別個人的生物特征數(shù)據(jù)、揭示與種族或族裔出身、政見、工會會員、宗教或其他信仰、健康或性生活有關(guān)信息的個人數(shù)據(jù)列為個人敏感數(shù)據(jù)。

跨境旅游企業(yè)在向歐盟境內(nèi)自然人提供跨境旅游服務時，尤其要注意兒童個人信息保護。兒童在用戶畫像和收集等方面受到特殊保護，禁止自動化處理兒童個人數(shù)據(jù)。首先，要判斷兒童的主體范圍。GDPR規(guī)定16歲以下為兒童，成員國也可以降低年齡標準(不能低于13歲)，企業(yè)要仔細考量經(jīng)營所涉歐盟成員國的規(guī)定，需要合理設計核實兒童年齡的線上或線下機制。其次，要識別“專門針對兒童的行為”，從而制定兒童隱私政策申明，對涉及兒童個人信息的數(shù)據(jù)處理行為須以合理有效的方式取得其父母同意。

二、構(gòu)建以風險為合規(guī)路徑的數(shù)據(jù)地圖

GDPR的主要特征是“以風險為路徑”。在電子商務領域，交易成本的降低和交易效率的提高是“雙贏”內(nèi)涵的最好詮釋。如果消費者的利益不能夠得到有效保護，將對消費者和經(jīng)營者均造成損害。[4]跨境旅游企業(yè)要實現(xiàn)數(shù)據(jù)權(quán)利保護和數(shù)據(jù)價值利用的平衡，應從產(chǎn)品或服務的設計著手構(gòu)建數(shù)據(jù)地圖，做到合規(guī)風險可知可控可追溯，在風險最小化的前提下實現(xiàn)數(shù)據(jù)商用價值最大化。

(一)構(gòu)建隱私數(shù)據(jù)圖譜

構(gòu)建隱私數(shù)據(jù)圖譜，有利于將個人數(shù)據(jù)分級分類，分別采取不同的保護措施。

1.區(qū)分一般數(shù)據(jù)、敏感數(shù)據(jù)、特殊數(shù)據(jù)根據(jù)GDPR目的限定原則、最小范圍原則、存儲限制原則，跨境旅游企業(yè)應確保從目的、數(shù)量、時間三個維度對數(shù)據(jù)收集進行過濾、篩選、分類。對一般數(shù)據(jù)、敏感數(shù)據(jù)和特殊數(shù)據(jù)實行分類存儲和采取不同的必要存儲期間?？稍O計讓用戶通過更改隱私設置來限制企業(yè)對其信息的收集類別，并可經(jīng)權(quán)限驗證后對其個人數(shù)據(jù)進行審查、糾正或要求刪除。按照數(shù)據(jù)的類別和敏感程度，存儲時需要區(qū)隔禁止中心化存儲的數(shù)據(jù)或必須要加一定措施才能中心化存儲的數(shù)據(jù)，分離身份識別數(shù)據(jù)與具體的業(yè)務行為數(shù)據(jù)，對一些敏感數(shù)據(jù)加密或降解技術(shù)脫敏后存儲，隱私數(shù)據(jù)授權(quán)的必要存儲期滿后及時銷毀。

2.區(qū)分不同識別度的數(shù)據(jù)GDPR所定義的個人數(shù)據(jù)包括“已識別”與“可識別”的，包含了識別路徑的個人數(shù)據(jù)(由信息本身特殊性識別出特定自然人)和關(guān)聯(lián)路徑的個人數(shù)據(jù)(已識別的個人后續(xù)的動作被系統(tǒng)記錄顯示出的偏好和行為軌跡)?？勺R別的數(shù)據(jù)對個人的識別度相對較低，GDPR允許對該類加密和假名化數(shù)據(jù)的處理可以有與收集時的原始目的相兼容的新目的。去標識化的個人數(shù)據(jù)不適用數(shù)據(jù)主體相關(guān)權(quán)利的規(guī)定，匿名化數(shù)據(jù)被排除在GDPR管轄范圍之外。

跨境旅游企業(yè)通過技術(shù)手段降低數(shù)據(jù)識別度，可降低風險。在收集個人信息后，宜立即采用差分隱私技術(shù)進行去標識化處理，通過數(shù)據(jù)的失真擾動，使得采集的數(shù)據(jù)具備統(tǒng)計性但無法定位到具體的個人，并與可用于恢復識別個人的數(shù)據(jù)分開存儲，且從技術(shù)上確保在后續(xù)的數(shù)據(jù)處理中不能重新識別出特定個人。如此，企業(yè)則可豁免相關(guān)數(shù)據(jù)保護義務。將數(shù)據(jù)做匿名化處理，即，在數(shù)據(jù)發(fā)布、使用、共享交換時，對可鏈接的屬性(即使做了標識數(shù)據(jù)的去標識脫敏，但攻擊者可以通過多個可鏈接的屬性關(guān)聯(lián)回來，比如身高、性別、區(qū)域、年齡組合在一起關(guān)聯(lián))進行模糊化處理，以減少被鏈接攻擊的可能。如此處理過的數(shù)據(jù)因無法與已識別或可識別的自然人相關(guān)聯(lián)，不受GDPR管轄。

(二)確保數(shù)據(jù)應用圖譜各環(huán)節(jié)有效可控

1.盡告知義務須合法有效GDPR的核心原則之一就是透明性原則，要求數(shù)據(jù)控制者必須以透明的方式、清晰簡明的語言，如實告知數(shù)據(jù)主體處理其個人數(shù)據(jù)的方式及程度。GDPR規(guī)定“數(shù)據(jù)主體授權(quán)”必須是數(shù)據(jù)主體被告知情況下自愿給出的特定明確表示，并明確了“授權(quán)”的要件：①數(shù)據(jù)控制者必須保證授權(quán)是用于特定目的；②必須區(qū)分數(shù)據(jù)主體的書面授權(quán)與其他事項授權(quán)；③授權(quán)可撤回；④在數(shù)據(jù)控制者和數(shù)據(jù)主體地位顯著不平衡時，授權(quán)不能作為處理數(shù)據(jù)的合法依據(jù)?？梢?，數(shù)據(jù)主體的緘默或不回應不能構(gòu)成授權(quán)，企業(yè)不能推定數(shù)據(jù)主體的授權(quán)，更不能以“霸王條款”強獲授權(quán)。并且，企業(yè)要保證授權(quán)與授權(quán)目的對應及授權(quán)可隨時撤銷。

如數(shù)據(jù)主體提出被遺忘權(quán)或要求限制處理，企業(yè)都應告知已披露個人數(shù)據(jù)的接收者——除非不可能或需付出不相稱的工作。如應數(shù)據(jù)主體要求，企業(yè)還應向其告知上述有關(guān)接收者的情形。履行告知義務還有形式和期限上的要求：須以書面形式(如隱私政策)提供，也可使用適當?shù)目梢暬椒?如標準化圖標)，在適當?shù)臅r候可通過電子公告(如網(wǎng)站公告)提供；對不同使用目的的數(shù)據(jù)應在相應的期限內(nèi)履行告知義務。

2.數(shù)據(jù)處理須有合法性根據(jù)GDPR規(guī)定了數(shù)據(jù)處理的六個合法性根據(jù)：同意、履行合同之必要、數(shù)據(jù)主體重大利益、法律義務、公共利益或官方職權(quán)、正當利益。其中最常用也是最為強調(diào)的事由就是數(shù)據(jù)主體的同意。

數(shù)據(jù)主體的同意在收集、處理、流通各個環(huán)節(jié)都有相應的要求。實務中常見的不合規(guī)獲取同意的方式有：讓消費者注冊時默認勾選(大多與服務捆綁，不同意則無法享受服務)、“一攬子”授權(quán)同意(開啟所提示的權(quán)限卻“一攬子”授權(quán)同意了后臺開啟其他未經(jīng)提示的權(quán)限)、概括式同意(通過格式條款使消費者在不可預見的情況下概括性地同意了數(shù)據(jù)處理的各種情形)。2019年1月，法國數(shù)據(jù)保護機構(gòu)就因谷歌未向用戶提供透明和清晰的處理個人數(shù)據(jù)的方式，所涉收集的同意既不“具體”也不“明確”，以違反GDPR的同意規(guī)則為由處罰谷歌5000萬歐元。跨境旅游企業(yè)應對標修改隱私政策或用戶協(xié)議：首先應建立確保同意有效性及可撤回的機制。只有充分告知用戶所存在的風險后的同意才是有效的。必須在數(shù)據(jù)主體作出同意前，以易于理解的語言且與其他事項顯著區(qū)別的形式提醒并告知消費者同意的法律后果：不再擁有反對處理權(quán)，但擁有撤回和刪除權(quán)，且撤回不溯及在撤回前基于同意對其個人數(shù)據(jù)的處理。隱私政策需明確告知消費者收集信息的目的和方式，用于新的目的需用彈窗模式再次提醒并征得消費者同意，確保有消費者同意的點擊動作。未作出清晰的確認動作，均不視為“明確的”同意。其次，要分隔數(shù)據(jù)使用的不同權(quán)限，區(qū)分核心功能和附加功能、雙方協(xié)議功能和第三方協(xié)議功能。消費者對不同權(quán)限和功能應有選擇權(quán)，只有當消費者針對諸多特定目的分別給予認可時才是GDPR所要求的“具體的”同意。跨境旅游企業(yè)不得采用“霸王條款”讓消費者沒有選擇權(quán)而失去對其個人數(shù)據(jù)的控制，且不能因消費者拒絕授權(quán)附加功能、第三方協(xié)議功能影響核心功能、雙方協(xié)議功能的使用。另外，為避免自增風險，不要文本雷同地照搬標桿企業(yè)的隱私政策，要契合自身業(yè)務及數(shù)據(jù)流情況、合規(guī)能力建設水平，結(jié)合從設計著手隱私保護所構(gòu)建的數(shù)據(jù)地圖，作出相應的隱私政策承諾。

適用“履行合同之必要”規(guī)則，一般是依據(jù)消費者主動發(fā)起的合同，應在訂立合同前讓消費者知悉法律后果：不享有撤回權(quán)和反對處理權(quán)，且在合同存續(xù)期間不享有被遺忘權(quán)，但享有可攜帶權(quán)。另外四種合法事由，對一般的跨境旅游企業(yè)來說，適用的可能性不大。如需適用，要注意公共利益和正當利益更多的是依賴于數(shù)據(jù)控制者的判斷，數(shù)據(jù)主體參與程度很低，GDPR相應地賦予了數(shù)據(jù)主體事中、事后的反對、限制、刪除的權(quán)利。而在適用保護數(shù)據(jù)主體重大利益和履行法律義務的合法事由的情況下，數(shù)據(jù)主體沒有撤回權(quán)和可攜帶權(quán)。

3.關(guān)注不同情形下數(shù)據(jù)權(quán)利實現(xiàn)的條件除了傳統(tǒng)的查詢、更正、刪除權(quán)利，GDPR還賦予個人反對權(quán)、免受自動化決策權(quán)以及被遺忘權(quán)、限制處理權(quán)和數(shù)據(jù)可攜帶權(quán)。個人不再是被動地“受制”于數(shù)據(jù)控制者，而能及時、簡便、深入地參與、介入、干預數(shù)據(jù)處理活動。數(shù)據(jù)主體權(quán)利升級給企業(yè)數(shù)據(jù)控制力帶來更多限制，但企業(yè)也需注意，這些權(quán)利的實現(xiàn)也有條件。被遺忘權(quán)不是絕對權(quán)利，只在消費者撤回同意或企業(yè)不再有合理理由繼續(xù)處理數(shù)據(jù)等情形下適用。對消費者的反對處理權(quán)，在不同情況下企業(yè)的義務是不同的。對出于直接營銷目的的處理，如用戶畫像和定向推送等自動化決策，反對權(quán)是絕對的。企業(yè)應單獨、清晰地告知數(shù)據(jù)主體擁有這種絕對反對權(quán)，并有義務對自動化處理采取適當?shù)谋Ｕ洗胧焊嬷獢?shù)據(jù)主體具體信息，允許其質(zhì)疑此類自動化決策、要求對自動化決策進行解釋或人為干預。對基于公共利益、正當利益或履行法律義務所必需的數(shù)據(jù)處理，反對權(quán)不是絕對的，但企業(yè)必須證明擁有令人信服的、優(yōu)先于數(shù)據(jù)主體利益的正當理由。可攜帶權(quán)的實現(xiàn)前提是“技術(shù)可行”。

4.謹慎采取合規(guī)的用戶畫像可行方式旅游市場發(fā)展催生的“定制旅游”方式，以滿足個性化的需求為原則，設計出最大限度符合旅游者心理預期產(chǎn)品。[5]使用用戶數(shù)據(jù)關(guān)聯(lián)用戶需求，用戶畫像是關(guān)鍵。它基于用戶屬性、用戶行為、用戶使用產(chǎn)品或服務的場景了解用戶的過程，收集消費者旅游記錄、網(wǎng)站訪問記錄、電子郵件推送的旅游服務內(nèi)容、甚至是跨類別、跨種類產(chǎn)品和服務等數(shù)據(jù)，解析消費者旅游行為特征及偏好，預測其未來取向，評估消費者服務模式與消費者個性化旅游需求的匹配度及旅游服務的可持續(xù)性。該項技術(shù)多用于內(nèi)容推送、應用推薦、產(chǎn)品研發(fā)、廣告投放、移動個性化服務，[6]為途牛、攜程、同程、螞蜂窩等在線旅游企業(yè)所青睞。根據(jù)GDPR第4條對“用戶畫像”的定義及第2條適用范圍的規(guī)定，用戶畫像及“形成或旨在形成用戶畫像”的活動均屬于個人數(shù)據(jù)處理。故網(wǎng)站瀏覽記錄、軟件使用記錄、點擊記錄、行蹤軌跡等為形成用戶畫像所收集的信息都屬于個人數(shù)據(jù)。用戶畫像合規(guī)問題特別突出，GDPR下對于畫像的形成、使用、共享環(huán)節(jié)中控制者的合規(guī)義務和數(shù)據(jù)主體權(quán)利的保障都進行了詳細的規(guī)定。[7]

跨境旅游企業(yè)應謹慎采用合規(guī)的可行方式。首先，必須向數(shù)據(jù)主體提供關(guān)于其個人數(shù)據(jù)用于畫像的簡潔、透明、易懂和易于獲取的信息。其次，需要評估生成畫像的處理程序是否與最初收集數(shù)據(jù)時的目的相兼容。第三，必須確保和證明畫像技術(shù)的運用符合數(shù)據(jù)最小化原則、用途限制和存儲限制原則的要求。第四，畫像處理過程所有階段應遵守準確性原則的數(shù)據(jù)質(zhì)量要求。第五，確保畫像處理具有合法性基礎。企業(yè)應當告知數(shù)據(jù)主體存在用戶畫像程序并提供相關(guān)邏輯、包括此類處理對于數(shù)據(jù)主體產(chǎn)生的預期后果，確保數(shù)據(jù)主體的同意確實是在充分知情基礎上作出的選擇。對作為畫像處理的合法性基礎的履行合同之必要、法定義務必要或保護重大利益必須等其他事由做縮限解釋，在后兩種情況下，也應保障數(shù)據(jù)主體對用戶畫像質(zhì)疑和進行人工干涉的權(quán)利。第六，對于可在畫像過程中推斷出敏感性個人喜好和特征的特殊類別數(shù)據(jù)，只有數(shù)據(jù)主體明確同意，或為公共利益所必要且已采取保護措施，才可以進行畫像。GDPR并不禁止用戶畫像的共享，只要共享方和接收方都能按照合規(guī)要求向用戶清晰詳細地告知并保障其各項權(quán)利的實現(xiàn)。

(三)嚴格監(jiān)管數(shù)據(jù)流動圖譜的動態(tài)

1.梳理數(shù)據(jù)在生態(tài)鏈的流動安全業(yè)務協(xié)作生態(tài)在線化使合作伙伴還有更大的一重風險：數(shù)據(jù)在生態(tài)鏈的流動安全。跨境旅游企業(yè)在需要與其他數(shù)據(jù)處理者合作時，要審慎選擇第三方數(shù)據(jù)處理者，選擇能夠保證采取足夠適當?shù)募夹g(shù)和組織措施的處理者，并能控制其數(shù)據(jù)處理行為以及次級處理者鏈條。數(shù)據(jù)處理者的權(quán)利和義務由其與控制者之間的數(shù)據(jù)處理協(xié)議約定。GDPR明確了數(shù)據(jù)處理協(xié)議內(nèi)容的強制性要求，企業(yè)應比照GDPR第28條的規(guī)定對現(xiàn)有數(shù)據(jù)處理協(xié)議做必要的修改，明確相關(guān)情形下的責任分擔。

其次，要依角色確定責任而建立最小授權(quán)的訪問控制策略。隨著大數(shù)據(jù)技術(shù)的推廣，大型跨境旅游企業(yè)也會自行承擔數(shù)據(jù)處理者的義務。企業(yè)要確定在各類數(shù)據(jù)處理活動中的角色，對安全管理人員、數(shù)據(jù)操作人員、審計人員等企業(yè)內(nèi)部、外部參與各類數(shù)據(jù)處理活動的當事人及其角色進行梳理、評估和分離設置，區(qū)隔作為控制者與處理者各自的職責及相應的義務，對這些人能接觸的數(shù)據(jù)類型、脫敏級別、許可的數(shù)據(jù)加工和運算類型，都需要進行細粒度權(quán)限控制。

再次，數(shù)據(jù)開放與共享時輸出匹配的合規(guī)能力。為了提高數(shù)據(jù)的使用效率和價值密度，企業(yè)還可能會以協(xié)作的方式與其他服務商實現(xiàn)數(shù)據(jù)共享。尤其是隨著場景旅游服務的興起，越來越多的跨境旅游服務依賴合作者的技術(shù)、渠道及流量，而合作者也在積極開拓歐盟市場。開放平臺成為跨產(chǎn)業(yè)、跨區(qū)域、跨市場融合的旅游產(chǎn)業(yè)發(fā)展趨勢。平臺型旅游企業(yè)利用平臺跨界收集經(jīng)營過程產(chǎn)生的交易數(shù)據(jù)、評價數(shù)據(jù)和日志數(shù)據(jù)，與第三方合作者進行匹配數(shù)據(jù)交易，除了輸出系統(tǒng)、數(shù)據(jù)等技術(shù)能力外，也要輸出與之匹配的合規(guī)能力。特別是在GDPR以同意為中心的合規(guī)體系下，一方面，后臺數(shù)據(jù)關(guān)聯(lián)應避免共享簡化，不能事先利用“一攬子”協(xié)議將消費者所有相關(guān)授權(quán)窮盡，應分項明示，由消費者手動設置。不論第三方是否采取了同樣的隱私保護政策，與之進行匹配數(shù)據(jù)交易，應符合消費者自愿原則，經(jīng)其同意方可操作。另一方面，也可以跟第三方簽訂保密協(xié)議或?qū)μ囟〝?shù)據(jù)做去標識化處理。

2.數(shù)據(jù)跨境傳輸可采取的合規(guī)傳輸路徑GDPR引入多種變通機制來調(diào)和不同的權(quán)利，構(gòu)建多種合規(guī)數(shù)據(jù)傳輸路徑。最正式的合規(guī)路徑是數(shù)據(jù)輸入國被歐盟委員會認定為“具有充足保護”，然而中國尚未獲得歐盟委員會的充足保護認定。跨境旅游企業(yè)從位于歐盟的數(shù)據(jù)控制者或處理者處獲得歐盟境內(nèi)自然人的個人數(shù)據(jù)，可以采用其他的合規(guī)路徑，只要輸出方提供適當?shù)谋Ｕ洗胧？缇陈糜纹髽I(yè)可與數(shù)據(jù)輸出方簽訂具有法律約束力的文件、制定有約束力的公司規(guī)則、采用歐盟委員會或監(jiān)管機構(gòu)制定并為歐盟委員會批準的數(shù)據(jù)保護標準條款、遵守GDPR所認可的行為準則或經(jīng)歐盟委員會批準的驗證機制并對安全保障做出具有約束力和執(zhí)行力的承諾，采取上述保障措施下的數(shù)據(jù)跨境傳輸不需要監(jiān)管機構(gòu)授權(quán)?？缇陈糜纹髽I(yè)還可與歐盟境內(nèi)的控制者或處理者簽訂有關(guān)數(shù)據(jù)轉(zhuǎn)移的合同并獲得監(jiān)管機構(gòu)的授權(quán)。

三、構(gòu)建有效的合規(guī)閉環(huán)

數(shù)據(jù)合規(guī)非一日之功，制度是數(shù)據(jù)治理最重要的范式?？缇陈糜纹髽I(yè)既要建立內(nèi)部控制制度，又要設立合規(guī)治理機構(gòu)協(xié)調(diào)企業(yè)數(shù)據(jù)全生命周期的合規(guī)治理。

(一)建立企業(yè)數(shù)據(jù)合規(guī)體系

GDPR“從設計著手隱私保護”原則(privacy by design)要求在產(chǎn)品和服務的初始設計階段將數(shù)據(jù)隱私保護考慮在內(nèi)。“默認隱私保護”原則(privacy by default)要求在數(shù)據(jù)全生命周期任何環(huán)節(jié)默認地采取必要的、適當?shù)募夹g(shù)和組織保障措施，確保只處理每個特定處理目的所必需的個人數(shù)據(jù)。企業(yè)應基于這兩項原則建設完備的數(shù)據(jù)合規(guī)體系。

第一，梳理數(shù)據(jù)流轉(zhuǎn)情況。需要清楚、全面地了解企業(yè)內(nèi)部對數(shù)據(jù)收集、使用、共享、轉(zhuǎn)讓、公開披露、存儲、刪除等環(huán)節(jié)的現(xiàn)狀以及所有配套機制的實施情況，包括數(shù)據(jù)血緣追蹤，即數(shù)據(jù)在存儲環(huán)節(jié)的傳遞路徑追蹤(用于控制數(shù)據(jù)質(zhì)量風險)；數(shù)據(jù)操作路徑溯源，即數(shù)據(jù)在使用環(huán)節(jié)的路徑鏈路(用于控制和數(shù)據(jù)服務相關(guān)的數(shù)據(jù)質(zhì)量風險)；高敏數(shù)據(jù)去向溯源，即高敏數(shù)據(jù)最后的去向(用于數(shù)據(jù)濫用、數(shù)據(jù)泄露事件溯源)；數(shù)據(jù)外發(fā)溯源，即數(shù)據(jù)通過非在線系統(tǒng)的外發(fā)流轉(zhuǎn)出去，數(shù)據(jù)泄露后可以追查外發(fā)途徑(用于數(shù)據(jù)泄露事件溯源)。完成數(shù)據(jù)流轉(zhuǎn)情況的梳理后，比對相關(guān)法律法規(guī)及標準，對不足部分及時改進。

第二，完善內(nèi)部制度規(guī)程。主要包括設置訪問權(quán)限控制機制、建立個人信息安全影響評估制度以及采取技術(shù)保護手段等。重點有兩個方面。一是建立“數(shù)據(jù)保護管理體系”(Data Protection Management System，DPMS)，在技術(shù)上加強數(shù)據(jù)安全能力建設，提高數(shù)據(jù)保護的可操作性，確保數(shù)據(jù)處理系統(tǒng)能夠持續(xù)保持完整性、可用性、保密性和自我修復性?？缇陈糜纹髽I(yè)對于會給消費者權(quán)利和自由帶來風險的特殊數(shù)據(jù)，必須設置數(shù)據(jù)保護影響評估(data protection impact assessment，DPIA)程序，建立科學的DPIA模型，明確評估的內(nèi)容、方法和標準，在收集和處理個人信息前系統(tǒng)地分析特定項目或系統(tǒng)對隱私的影響。評估結(jié)果直接影響數(shù)據(jù)處理的條件，并需更改企業(yè)內(nèi)部技術(shù)系統(tǒng)和流程，設計專項保護措施，從而對數(shù)據(jù)風險早期預防、實時感知、即時反饋和動態(tài)監(jiān)控。同時，發(fā)布DPIA報告是促進企業(yè)自證合規(guī)、配合監(jiān)管的有效工具。若DPIA表明存在較高風險，企業(yè)應事先征求監(jiān)管機構(gòu)的意見。二是做好內(nèi)部數(shù)據(jù)泄露應急處置預案，包括在事故發(fā)生時須采取的行動、檢查事項清單和后續(xù)措施等。當發(fā)生意外事件時，第一時間將相關(guān)基本情況和可能的影響以郵件、信函、電話、推送通知等方式告知受影響的消費者，說明救濟措施并建議和指導消費者先采取適當措施自主防范和降低風險。難以逐一告知時，應采取合理、有效的方式發(fā)布公告警示。同時向監(jiān)管部門報告，并在內(nèi)部立即采取初步補救措施。

第三，完善外部文件，包括用戶協(xié)議、隱私政策以及與第三方的協(xié)議等。外部文件是評估企業(yè)合規(guī)水平的重要參考依據(jù)，最好結(jié)合之前對數(shù)據(jù)流轉(zhuǎn)情況的梳理完成。還要定期對第三方進行審計，盡量識別和避免因事實上的數(shù)據(jù)處理合作而導致的責任。

(二)做好監(jiān)管審計管理

GDPR規(guī)定了數(shù)據(jù)主體向監(jiān)管機構(gòu)申訴的權(quán)利、對監(jiān)管機構(gòu)的決定獲取有效司法救濟的權(quán)利、對數(shù)據(jù)控制者或處理者的違規(guī)行為申請司法救濟的權(quán)利，且處罰金額巨大。賦予數(shù)據(jù)主體救濟權(quán)加大了企業(yè)的違規(guī)成本，跨境旅游企業(yè)應建立合規(guī)監(jiān)管機制降低合規(guī)成本。

1.設置數(shù)據(jù)合規(guī)官GDPR強制要求數(shù)據(jù)處理組織任命數(shù)據(jù)保護官(Data Protection Officer，DPO)。這一規(guī)定成為基于問責制合規(guī)框架的重要“基石”，其立法主旨是將個人信息的部分監(jiān)管職能和相應責任由監(jiān)管部門轉(zhuǎn)移至企業(yè)內(nèi)部。DPO梳理并全面了解本企業(yè)數(shù)據(jù)合規(guī)的執(zhí)行情況，為不同場景設計合適的數(shù)據(jù)保護方案，確保企業(yè)隱私保護實踐達到最佳效果；進行進一步的數(shù)據(jù)處理影響評估、安全事件可能性分析、隱私風險分析等環(huán)節(jié)，最終產(chǎn)出合規(guī)差距分析表；充當監(jiān)督機構(gòu)、數(shù)據(jù)主體和組織內(nèi)的業(yè)務部門等各利益相關(guān)人之間的紐帶。

2.符合合規(guī)監(jiān)管的形式要求GDPR第5(2)條規(guī)定了問責原則，要求企業(yè)遵守數(shù)據(jù)處理原則并能自證其遵守?？缇陈糜纹髽I(yè)要以可見的形式合規(guī)，以便于痕跡審計。DPO完善合規(guī)要求的各項規(guī)范性文檔，保存數(shù)據(jù)處理的書面(包括電子)記錄，保留完整有效的合規(guī)證明，以符合形式合規(guī)。

具體而言，DPO對隱私協(xié)議進行更新和確認，對收集和存儲的數(shù)據(jù)類型、收集目的、處理方式、保護措施、是否會轉(zhuǎn)移到監(jiān)管范圍之外地區(qū)以及用戶如何行使數(shù)據(jù)主體權(quán)利進行充分、明確的說明；并針對DPIA、跨境數(shù)據(jù)轉(zhuǎn)移、數(shù)據(jù)泄露應急和個人數(shù)據(jù)保護等多方面的內(nèi)容形成規(guī)范性文檔；記錄數(shù)據(jù)處理活動，建立全面、準確、完整地反映企業(yè)運營狀況的數(shù)據(jù)地圖，建立數(shù)據(jù)分級分類、數(shù)據(jù)打標、數(shù)據(jù)血緣關(guān)系的數(shù)據(jù)檔案，描述數(shù)據(jù)獲取途徑、處理手段、流動過程及路徑、存儲位置、消費者權(quán)利的請求及行使等數(shù)據(jù)動態(tài)變化，尤其是對高敏數(shù)據(jù)的全程監(jiān)控與審計。

記錄作為留痕審計的重要證據(jù)，記載數(shù)據(jù)全生命周期每一環(huán)節(jié)的狀態(tài)，為風險評估提供事實依據(jù)，在監(jiān)管機構(gòu)問責時可展示數(shù)據(jù)處理活動的合規(guī)性以完成舉證義務。企業(yè)自我規(guī)制，遵守由國際組織、行業(yè)協(xié)會等擬定的行為規(guī)則，向認證機構(gòu)申請國際標準的合格評定時也可將記錄作為重要資料留存。

3.積極配合GDPR機構(gòu)監(jiān)管GDPR規(guī)定，不遵守監(jiān)管機構(gòu)的命令，行政罰款可增至2000萬歐元或全球年營業(yè)總額的4%(以較高者為準)。高額的行政罰款已使一些大型跨國公司受到懲戒，使涉及個人數(shù)據(jù)相關(guān)業(yè)務的跨國經(jīng)營組織感到風險重重。其實，最高罰金僅對最嚴重的違法行為適用。如果違法行為不會對數(shù)據(jù)主體權(quán)利構(gòu)成重大風險，可以用警告、申誡、要求改正、要求更正或刪除個人數(shù)據(jù)等取代罰款。第29條工作組《行政罰款的適用和設置指南》明確指出：在具體案件中，監(jiān)管機構(gòu)有責任采取審慎平衡的方法，選擇有效的、恰當?shù)?、有說服力的措施。[8]同時，監(jiān)管機構(gòu)在評估是否適用罰款及確定罰金標準時，應考慮的因素有：違法的性質(zhì)、嚴重性與持續(xù)時間；基于故意還是過失；控制者或處理者為了減輕數(shù)據(jù)主體損失而采取的所有行動；與監(jiān)管機構(gòu)的合作程度；監(jiān)管機構(gòu)得知違法行為的方式等等。因此，一旦發(fā)生不合規(guī)事件，跨境旅游企業(yè)對危機事件做出迅速反應、評估與處理的同時，需向監(jiān)管機構(gòu)報告并保持良好密切的溝通，有助于避免更為嚴厲的處罰。